Advokaten 1
PRAKTISK JURIDIK bedömning avviker i detta avseen
de från Rekons rekommendationer avseende handläggningsåtgärder, som utgår från att information ska lämnas i såväl inledande information till tillsynsmyndigheten som i bouppteckning och berättelser. Om personuppgifter hämtas in från annan än den registrerade har konkursförvaltaren en skyldighet att senast inom en månad fullgöra informationsskyldigheten i förhållande till den registrerade. Vår bedömning är att det vid konkurshandläggning i stor utsträckning förekommer behandling av personuppgifter som härrör från annan än den registrerade. Såvitt avser sådana uppgifter avser de i stor utsträckning personer som det inom ramen för konkurshandläggningen inte finns skäl att kontakta. Detta kan exempelvis avse uppgifter i Bolagsverkets akt om tidigare funktionärer i konkursbolaget eller uppgifter om privatpersoner som förekommer i konkursbolagets bokföring eller kundreskontra. Att lämna information till alla personer vars personuppgifter kan finnas registrerade på detta sätt skulle bli alltför resurskrävande och kostsamt. Vi anser därför att någon information i sådana situationer inte behöver lämnas. Denna bedömning baserar vi på att åtgärderna att lämna information i dessa avseenden skulle medföra en oproportionerlig ansträngning för konkursförvaltaren.4 Information ska inte heller lämnas i den mån uppgifterna omfattas ADVOKATEN NR 5 • 2020 av tystnadsplikt.5 Detta undantag är tillämpligt på konkursförvaltarens underrättelse enligt konkurslagen 7 kap. 16 §. HANTERING AV BEGÄRAN OM REGISTERUTDRAG Den registrerade, det vill säga den person vars personuppgifter behandlas, kan när som helst fråga en personuppgiftsansvarig om vilka personuppgifter som behandlas om vederbörande, en förfrågan om registerutdrag.6 Den begärda informationen ska lämnas ut utan onödigt dröjsmål och senast inom en månad från begäran. Detta innebär att konkursförvaltaren i större konkurser måste ha resurser för att kunna identifiera och sammanställa vilka uppgifter som behandlas om en registrerad. Detta ställer inte endast krav på ordning och reda inom konkursförvaltarens administration utan även på de tekniska resurser som krävs för att på ett smidigt sätt kunna få fram och sammanställa uppgifterna. Vi förväntar oss att den här typen av förfrågningar exempelvis kan komma från konkursbolagets anställda, personer med andra typer av engagemang i bolaget eller personer konkursboet under avvecklingen har kontakter med. Konkursförvaltaren måste inte bara vara beredd att hantera förfrågningar om registerutdrag under en pågående konkurs. Förfrågningar kan även komma att aktualiseras och behöva hanteras långt efter det att konkursen är avslutad. PRAKTISK HANDLÄGGNING När det gäller hantering av korrespondens i konkurser är Rekons rekommendation att detta i allmänhet kan göras med epost men att dokument som innehåller känsliga uppgifter ska skickas med den ordinarie posten. Korrespondens som innefattar känsliga personuppgifter kan exempelvis avse beslut om lönegaranti och lönespecifikationer. Detsamma gäller underrättelser enligt 7 kap. 16 § konkurslagen. Skälet till att epost ska undvikas när det gäller korrespondens innehållande känsliga personuppgifter är att överföringar över ett öppet nät bedöms som mer riskfyllt eftersom andra än den avsedda mottagaren kan ta del av meddelandet. Även om den registrerade har samtyckt till att uppgifterna skickas med epost befriar inte detta den personuppgiftsansvarige från att följa dataskyddsförordningens krav på säkerhetsåtgärder. SAMMANFATTNING Med hänsyn till de kostsamma sanktioner som kan drabba konkursförvaltaren är det nödvändigt att konkursförvaltarkåren inte endast skaffar nödvändig kunskap rörande handläggningen av personuppgifter i konkurser utan även håller sig underrättad om den rättsutveckling som kan komma att ske inom detta område. Peter Savin Advokat Malin Kulander Jur. kand. VÅR BEDÖMNING ÄR ATT DET VID KONKURSHANDLÄGGNING I STOR UTSTRÄCKNING FÖREKOMMER BEHANDLING AV PERSONUPPGIFTER SOM HÄRRÖR FRÅN ANNAN ÄN DEN REGISTRERADE. 4 GDPR art. 14.5 b samt Artikel 29arbetsgruppens riktlinjer om öppenhet enligt förordning (EU) 2016/679 p. 61. 5 GDPR art. 14.5 d. 6 GDPR art. 12. 45